В open source PostScript-интерпретаторе Ghostscript обнаружена неисправленная RCE-уязвимость

Ghostscript unpatched vulnerability

Исследователи из Google Project Zero сообщили о проблеме в Ghostscript — интерпретаторе с открытым кодом для языка PostScript и файлов PDF. С ее помощью злоумышленник может получить доступ к приложениям и серверам, работающим с опасным ПО. Для уязвимости пока нет патча, поэтому специалисты рекомендуют отключить по умолчанию все шифровальщики для .PS, .EPS, .PDF и .XPS в файле policy.xml.

Подробнее об ошибке в Ghostscript

Сотрудник подразделения Google Тавис Орманди (Tavis Ormandy‏) рассказал, что брешь в безопасности эксплуатирует способы обхода изолированного окружения -dSAFER, с помощью которых киберпреступники могут отправить жертве файл PostScript, PDF, EPS или XPS с вредоносным кодом. Когда проблемная версия Ghostscript откроет такой файл, выполнится содержащийся в нем код, что даст возможность взять под контроль управление над приложениями и серверами.

Уязвимость уже подтвердили разработчики интерпретатора — Artifex Software, а собственного CVE-идентификатора у нее пока нет.

Пользователи в опасности

Под угрозой оказались те, кто использует пакеты ImageMagick, Evince и GIMP для чтения и редактирования файлов множества графических форматов. Данные наборы программ включены во многие дистрибутивы Linux: RedHat, SUSE, Ubuntu, Fedora, FreeBSD, Debian, CentOS. Тавис Орманди в своем твиттере посоветовал отключить кодеры Ghostscript для файлов с расширениями .PS, .EPS, .PDF и .XPS в документе policy.xml:

Команда Google Project Zero известна за обнаружение серьезных уязвимостей в ПО и «железе». Среди них — эксплойт для запуска произвольного кода в Windows 10 S, брешь в Microsoft Edge, а также баги в процессорах Intel и AMD под названиями Spectre и Meltdown, о которых мы подробно рассказали в большом материале.

Источник: баг-трекер Chromium

Ещё интересное для вас:
— Биты, байты, Ада Лавлейс — тест на знание околоIT.
— Level Up — события и курсы, на которых можно поднять свой уровень.
— Работа мечты — лучшие IT-вакансии для вас.